<4D F736F F D208BA689EF834B CC8A6D92E894C55F F2E646F63>

Size: px

Start display at page:

Download "<4D F736F F D208BA689EF834B CC8A6D92E894C55F F2E646F63>"

さやなたかぎ
5 years ago
Views:

1 個人情報保護ガイドラインの確定版有限責任中間法人日本メーリングサービス協会目次 * ガイドライン策定の目的... 1 * このガイドラインで使用する用語の解説... 1 第 1 章個人情報保護方針 2 第 2 章体制責任 2 (1) 個人情報保護管理者監査責任者教育責任者苦情相談の対応窓口の指名 2 (2) コンプライアンスプログラム実行のための体制づくり 2 (3) 個人情報の機密保持に関する従事者の責務 3 第 3 章計画 3 (1) 個人情報の特定とリスク調査 3 (2) 法令及びその他の規範 4 (3) 内部規程の策定維持 4 (4) 教育監査等の計画の立案文書化実施 4 第 4 章個人情報の収集に関する措置 4 (1) 収集の原則 4 (2) 収集方法の制限 5 (3) 特定の機微な個人情報の収集の禁止 5 (4) 情報主体から直接収集する場合の措置 5 (5) 情報主体以外から間接的に収集する場合の措置 5 第 5 章個人情報の利用及び提供に関する措置 6 (1) 個人情報の利用及び提供の原則 6 (2) 収集目的の範囲外の利用及び提供の場合の措置 6 第 6 章個人情報の適正管理義務 6 (1) 個人情報の正確性の確保 6 (2) 個人情報の利用の安全性の確保 6 (3) 個人情報を預託する場合の措置 7 第 7 章個人情報に関する情報主体の権利 8 (1) 個人情報に関する権利 8 (2) 個人情報の利用又は提供の拒否権 8 第 8 章苦情及び相談 8 (1) 苦情及び相談 8 i

2 第 9 章教育 8 (1) 教育 8 第 10 章文書の作成管理内容の見直し 9 (1) コンプライアンスプログラムの文書の作成 9 (2) 文書の管理 9 (3) 内容の見直し 9 第 11 章監査 9 (1) 監査 9 第 12 章罰則 9 (1) 罰則 9 ii

3 * ガイドライン策定の目的有限責任中間法人日本メーリングサービス協会では会員各社が業務上個人情報を含む多種多様な情報を大量に取り扱うことに鑑みその適正な運営を目的として個人情報保護ガイドラインを策定するこのガイドラインは日本工業規格個人情報保護に関するコンプライアンスプログラムの要求事項 (JISQ15001:1999) に準拠しているがあわせて平成 17 年 4 月 1 日に全面施行される個人情報の保護に関する法律 ( 以下個人情報保護法 ) 経済産業省の個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン ( 平成 16 年 10 月 22 日告示以下経産省ガイドライン ) をも参考にして策定されている会員各社はこのガイドラインを参考に自社のメーリングサービス業務に係わる個人情報保護のコンプライアンスプログラムを作成しこれを遵守する体制の整備と継続改善に努め適正な個人情報の取り扱いを推進することにより顧客の信頼を得ることを強く願うものである * このガイドラインで使用する用語の解説個人情報例えばダイレクトメールを送付するために集められる個人情報など個人に関する情報具体的には個人の氏名住所生年月日などのほか個人を識別できる番号記号その他の記述や符号画像若しくは音声などを指す ( その情報だけでは識別できないが他の情報と容易に照合できそれによって当該個人を識別できるものを含む ) 情報主体ダイレクトメールの受け手など一定の情報によって識別される個人をいう情報主体の同意情報主体が収集利用又は提供に関する情報を与えられた上で自己に関する個人情報の収集利用又は提供について承諾する意思表示をいうただし情報主体が子供等の場合は保護者の同意も得たことをいう個人情報個人情報保護法の対象となる個人情報取扱事業者とは一日に平均 5000 件を超える取扱事業者個人情報データベース等を取り扱う民間の事業者をいう収集目的個人情報の利用及び提供の範囲を定め情報主体の同意の対象となるものをいう利用個人情報をダイレクトメールの宛名として使用するなど情報サービスとして個人情報を処理することをいう提供収集した個人情報を第三者に利用可能にすることを指すこの時提供を受ける法人又は団体を受領者という 1

4 預託事業者が自己以外のものに情報処理を委託するなどのために自ら保有する個人情報を預けることをいうコンプライアンス事業者が保有する個人情報を保護するための方針組織計画実施監査及び見直しプログラム(CP) を含むマネジメントシステムをいう個人情報個人情報を保護しようとする企業の内部において代表者によって指名された者であっ保護管理者てコンプライアンスプログラムの実施及び運用に関する責任と権限を有する者をいう監査責任者企業の代表者によって指名された者で個人情報保護管理者から独立した公平かつ客観的な立場にあり監査の実施及び報告を行う権限を有する者をいうなお社外の第三者に監査を委託することも可能である第 1 章個人情報保護方針メーリングサービス事業者の代表者は次の事項を含む個人情報保護方針を定めるとともにこれを実施する社内体制を組織し維持するまた代表者はこの方針を文書化し役員従業員及びすべての関係者 ( アルバイトパートを含む ) に教育研修を通じて周知徹底させるとともに一般の人が入手可能な処置を講じる 1 メーリングサービス事業者の実情に沿ってかつ情報主体の権利と利益の保護を考慮した適切な収集利用提供及び預託を行う 2 個人情報への不正アクセス紛失破壊改ざん及び漏洩などの予防並びに是正を行う 3 個人情報に関する法令及びその他の規範を遵守する 4 一連の規程実施運用に関し継続的改善を続ける第 2 章体制責任 (1) 個人情報保護管理者監査責任者教育責任者苦情相談の対応責任者の指名メーリングサービス事業者の代表者は個人情報保護のための体制として全社の管理責任者である個人情報保護管理者の任命及び個人情報保護方針通りに実施運営されているかを監査する監査責任者の任命教育訓練を企画運営する教育責任者の任命また顧客や情報主体の苦情相談受け取り停止発送休停止請求などを引き受ける対応責任者を指名するポイント個人情報保護管理者と監査責任者は組織上上下関係にある人を避けること (2) コンプライアンスプログラム実行のための体制づくり 2

5 任命された個人情報保護管理者は部門管理者部門管理担当者を任命し全社の管理体制と管理義務責任を運用規程に照らして取り決め従業員及びすべての関係者に徹底するまた任命された監査責任者は監査担当者を任命し監査のためのチームを編成する教育責任者は本ガイドラインに定められた内容を理解し遵守するとともに役員従業員及びすべての関係者 ( アルバイトパートを含む ) への教育の計画を企画運営する苦情相談対応責任者は規程で定められた業務を遂行できる体制をとるなお社内ネットワーク (LAN) や外部ネットワーク及びインターネットに接続している等の設備を持つメーリングサービス事業者ではその安全性確保のためにメーリングサービス事業者の代表者により社内ネットワーク管理者ウィルス対策管理者を任命し個人情報保護管理者の管理する体制下でその任務を遂行するポイント社内ネットワーク管理者とウィルス対策管理者は兼務でもよいが該当する知識を持つ人又は持つ人を指揮できる人が望ましい (3) 個人情報の機密保持に関する従事者の責務個人情報の取り扱いに従事するすべての関係者 ( アルバイトパート派遣社員も含む ) は法令の規程及び自社の規程を遵守し個人情報の秘密の保持に十分な注意を払って業務を行うポイント個人情報保護法では雇用及び契約時における非開示契約を交わし且つ契約終了時以降も一定期間有効であるとすること及びこの契約に違反した場合の処置に関する規程を整備することを求めている第 3 章計画 (1) 個人情報の特定とリスク調査メーリングサービス事業者は自社の保有するすべての個人情報を特定するための手順を確立し維持運営するメーリングサービス事業者は特定した個人情報に関するリスク ( 個人情報への不正アクセス個人情報の紛失破壊改ざん及び漏洩など ) を調査の上適正な保護措置を講じない場合の影響を認識し対応処置を講じるポイント社内で扱っている個人情報についてメーリングサービス事業者の代表者や役員は正確に把握し取り扱いの途中でどんなリスクに晒されているかを認識しておく必要がある即ち委託により個人情報を受け取った時点から社内外で処理加工し製品化して納品物として納品するまで及び個人情報を顧客に返納するまで社内及び委託外注先 ( 顧客が容認した場合 ) を含めて全ての工程で個人情報に関するリスク ( 個人情報への不正アクセス個人情報の紛失 3

6 破壊改ざん及び漏洩など ) の発生する可能性を徹底調査検討してそのリスクを防ぐ対策を立てなくてはならない (2) 法令及びその他の規範メーリングサービス事業者は個人情報に関する法令及びその他の規範を特定し関係者が参照できる手順を確立し維持するポイント一般的な規範には個人情報保護法個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン個人情報保護に関するコンプライアンスプログラムの要求事項 (JISQ15001:1999) 不正アクセス行為の禁止等に関する法律などがある (3) 内部規程の策定維持メーリングサービス事業者は個人情報を保護するために内部規程を策定し維持する 1. 内部規程には次の事項を盛り込む 1 メーリングサービス事業者の各部門及び階層の個人情報保護管理者の職務範囲と権限責任の規程 2 個人情報の収集利用提供及び管理の規程 3 情報主体からの個人情報に関する開示訂正削除及び送付停止や休止の規程 4 個人情報保護に関する教育の規程 5 個人情報保護に関する監査の規程 6 内部規程の違反に関する罰則の規程 2. 事業の動向に対応して内部規程の修正や改定を行うポイントコンプライアンスプログラムを作成する場合はコンプライアンスプログラムの構成図 ( どのような規程から成り立っているか社内の他の規定との関係などチャート化 ) にすると判り易い (4) 教育監査等の計画の立案文書化実施メーリングサービス事業者は個人情報を保護するために必要な教育監査などの計画を年初に立案し実施する第 4 章個人情報の収集に関する措置 (1) 収集の原則個人情報の収集は収集目的を明確に定めその目的の達成に必要な範囲内で行う 4

7 (2) 収集方法の制限個人情報の収集は適法かつ公正な手段によって行う (3) 特定の機微な個人情報の収集の禁止メーリングサービス事業者は明示的な情報主体の同意を得る以外に次のような内容の個人情報の収集利用提供をしてはならない 1 人種及び民族門地及び本籍地 ( 所在都道府県に関する情報を除く ) 2 思想信条宗教 3 政治的権利団体労働組合等の加入団結権団体行動に関すること 4 保健医療及び心身の障害 5 犯罪歴 (4) 情報主体から直接収集する場合の措置メーリングサービス事業者は情報主体から直接に個人情報を収集する場合情報主体に対して少なくとも次の事項又はそれと同等以上の事項を書面で通知し情報主体の同意を得る通信網を利用して収集する場合は電子メール等の電磁的記録による通知も可とする 1 個人情報に関する問い合わせ窓口の部署名及び連絡先 2 収集目的 3 個人情報の提供が予定される場合にはその目的情報の受領者及び個人情報の取り扱いに関する契約の有無 4 個人情報の預託を行うことが予定される場合はその旨 5 情報主体が個人情報を与えることの任意性 ( 拒否する権利等 ) 及び当該情報を与えなかった場合に情報主体に生じる結果 6 個人情報の開示を求める権利及び開示の結果当情報が誤っている場合の訂正又は削除を要求する権利を有すること並びにその権利を行使する際の具体的な方法ポイント自社の役員や従業員の情報は直接収集した個人情報に相当する従って採用する場合の応募者の取り扱いや自社内で取り扱う社員情報の範囲期間取り扱い方法などを社員情報取り扱い規程に纏めるとよい (5) 情報主体以外から間接的に収集する場合の措置メーリングサービス事業者は情報主体に対して少なくとも (4) 項の1から4 6を書面で通知し情報主体の同意を得ることただし次の場合はこの限りではない 1 情報主体からの個人情報収集時にあらかじめ自社への情報提供を予定している旨情報主体の同意を得ている提供者から収集する場合 2 情報処理を委託するなどのために個人情報を預託される場合 3 情報主体の保護に値する利益が侵害される恐れのない収集の場合 ( 例えば情報主体により不特定多数の者に公開された情報から収集する場合 ) 5

8 ポイント不特定多数の者に公開された情報とは広く一般に刊行されたもので一般消費者が容易に知り得るものを指すただし親睦を目的として配布されている卒業生名簿等は利用者を限定しているもので公開情報とは言い難いものである第 5 章個人情報の利用及び提供に関する措置 (1) 個人情報の利用及び提供の原則個人情報の利用と提供は情報主体が同意を与えた収集目的の範囲内で行うことただし次の場合は情報主体の同意を必要としない 1 法令の規程による場合 2 情報主体又は公衆の生命健康財産などの重大な利益を保護するために必要な場合 (2) 収集目的の範囲外の利用及び提供の場合の措置情報主体が同意を与えた収集目的の範囲外で個人情報の利用及び提供を行う場合は少なくとも第 4 章 (4) 項の1から4 6の事項を書面又はこれに代わる方法により情報主体に通知し事前の情報主体の同意の下に行うポイント膨大な数の情報主体の同意を得る手段の一つに差し出す書類やダイレクトメールに受け取り拒否停止や発送休止停止請求の仕組みとその申し込み窓口への連絡方法などを明示し請求があれば正確に対処することで事前の了承に替えることができる方法がある ( オプトアウトの仕組み ) 第 6 章個人情報の適正管理義務 (1) 個人情報の正確性の確保個人情報は収集目的に応じ必要な範囲内において正確かつ最新の状態で管理する (2) 個人情報の利用の安全性の確保個人情報への不正アクセス個人情報の紛失破壊改ざん及び漏洩など個人情報に関するリスクに対して合理的な安全対策を講じるポイントまず不正アクセス対策には 1 建物ビル工場コンピュータ室などへの入退管理が必要で部外者を正確に識別把握すること 6

9 2データベースを持つサーバーに対する端末機 ( パソコン ) からのアクセス制限や使用後のログ管理で作業者の作業履歴チェック 3 インターネットに接続している場合はファイアウォールやサーバーの外部からの侵入に対処する運用管理などまた一般に情報システムの適正運用管理 ( 紛失破壊改ざん漏洩を防ぐ ) には 1データの受け渡し ( 顧客との間営業部門とコンピュータ部門との間顧客とパソコン間でファイル転送する場合運送会社との間など ) ルールの策定 ( 作業手順の確立即ち誰が作業したか責任者が確認したか等の作業記録を保存すること ) 2プログラム開発を含む契約の場合は開発部門がテストで扱う個人情報データの取り扱いルールの策定 ( 前項と同じ ) 3コンピュータの運用計画作成社内ユーザ部門のデータ出力ルールの策定 ( 前項と同じ ) 工場の安全性のためには 1データを扱う担当者責任者を作業域ごとに決定のうえ作業記録を保存 2 仕掛かり製品の保管の場所と責任者の指定 3 管理者は派遣社員を作業チームに組み入れる場合は会社の購買部門を通じ個人情報保護の取り組みができている会社と保護条項の含まれた契約を交わしかつ当派遣社員から誓約書の提出を受けた上で採用などが要求される経産省ガイドラインでは個人情報の安全管理のために組織的 ( 組織, 権限と責任など ) 人的 ( 従業員等の教育など ) 物理的( 入退室管理など ) 及び技術的(IT 技術など ) の4つの安全管理措置を講じることを求めている (3) 個人情報を預託する場合の措置個人情報を含む情報処理をアウトソーシングなど外部に預託する場合は個人情報預託の手続きを踏むまた預託先の業者は十分に個人情報が保護出来る業者を選定するポイント自社が顧客から預託される場合の契約は個人情報保護の責任を持つことが義務づけられる同様にその処理を委託者の了承を得て更に協力会社に再委託する際にはその協力会社の犯した事故はすべて自社の責任となる従って預託先の協力会社の選定基準は個人情報保護義務秘密保持義務外部への提供禁止預託期間の厳密化データの返還義務事故時の責任分担等が契約で保障されることが重要となるなお優越的地位にある者が委託者の場合受託者に不当な負担を課すことがあってはならない 7

10 第 7 章個人情報に関する情報主体の権利 (1) 個人情報に関する権利メーリングサービス事業者は情報主体から自己の情報について開示を求められた場合合理的な期間内にこれに応じるまた開示の結果誤った情報があり訂正又は削除を求められた場合は速やかに対処しその結果を当情報主体に対し通知する (2) 個人情報の利用又は提供の拒否権メーリングサービス事業者はその保有している個人情報について情報主体から自己の情報についての利用また第三者への提供を拒まれた場合これに応じるただし次の事項に該当する場合はこの限りではない 1 法令の規程による場合 2 情報主体又は公衆の生命健康財産などの重大な利益を保護するために必要な場合第 8 章苦情及び相談 (1) 苦情及び相談メーリングサービス事業者は個人情報及びコンプライアンスプログラムに関して顧客または情報主体からの苦情及び相談を受け付けて誠実に速やかに対応するポイント第 7 章第 8 章に関してはメーリングサービス事業者は情報主体からは見えない立場にあるため顧客からの対応に限られる更にオプトアウトの仕組みも含めて受託した場合には情報主体に対する対応も必要となるそのため顧客からの苦情に対する窓口 ( 部署 ) も明示しておく必要がある第 9 章教育 (1) 教育メーリングサービス事業者は役員従業員及びすべての関係者に適切な教育を都度行うメーリングサービス事業者は関連する各部門及び各階層の従業員関係者に次の事項を自覚させる手順を確立し維持する 1 個人情報保護方針実施及び運用に適合することの重要性と利点 2 個人情報保護方針実施及び運用に適合するための役割と責任 3 個人情報保護方針実施及び運用に違反した際に予想される結果 8

11 ポイント社内教育を実施した際は必ず出席者の感想意見反省場合によってはアンケートなどを記名入りで提出させ保管しておくこと日頃からの社員教育を通じ個人情報保護意識の徹底を図る第 10 章文書の作成管理内容の見直し (1) コンプライアンスプログラムの文書の作成メーリングサービス事業者は個人情報保護方針内部規程実施及び運用に関するすべての文書を書面又はこれに代わる方法で記述する (2) 文書の管理メーリングサービス事業者は個人情報保護方針内部規程実施及び運用に関するすべての文書を管理保管する (3) 内容の見直しメーリングサービス事業者の代表者は監査報告書及びその他の経営環境などに照らして適切な個人情報の保護を維持するために少なくとも年一回保護方針内部規程実施運用を見直す第 11 章監査 (1) 監査 1. メーリングサービス事業者の代表者は自社の個人情報保護方針内部規程実施及び運用状況を定期的に監査する 2. 監査責任者は監査を指揮し監査報告書を作成し代表者に報告する 3. 代表者は監査報告書を管理し保管する第 12 章罰則 (1) 罰則メーリングサービス事業者は第 3 章 (3) により定められた内部規程に違反した役員従業員関係者に対して就業規則に基づき懲戒を行う以上 9

財団法人日本体育協会個人情報保護規程

財団法人日本体育協会個人情報保護規程公益財団法人日本水泳連盟個人情報保護規程第 1 章総則 ( 目的 ) 第 1 条本規程は公益財団法人日本水泳連盟 ( 以下本連盟という ) が保有する個人情報につき本連盟個人情報保護方針 ( プライバシーポリシー ) に基づき適正な保護を実現することを目的とする ( 定義 ) 第 2 条本規程における用語の定義はつぎの各号に定める (1) 個人情報生存する個人に関する情報であって当該情報に含まれる氏名